Per le email senza codici valore probatorio dubbio in caso di contenzioso
I dati registrati dai provider sono utili per provare l’autenticità dei messaggi
Le nuove linee guida del Garante privacy sul tema della conservazione dei metadati delle email aziendali hanno attenuato l’allarme sorto dopo la pubblicazione, nel febbraio scorso, della prima versione del documento, ma non hanno risolto tutti i problemi che genera questa complessa tematica. Il nuovo documento di indirizzo consente alle aziende di salvaguardare le informazioni necessarie ad archiviare e indicizzare i messaggi di posta elettronica: questo perché il termine stringente di conservazione indicato dal Garante non si applica alle informazioni contenute nel cosiddetto envelope delle email.
Ciò non vuol dire che queste informazioni possano essere conservate a tempo indeterminato, anzi le aziende devono adottare una stringente data retention policy con riferimento anche alle informazioni contenute nel corpo dei messaggi di posta elettronica, o comunque integrate con questi, e per tutte le altre intestazioni tecniche strutturate che documentano l’instradamento del messaggio, la sua provenienza e altri parametri tecnici. Tale termine dovrà essere determinato dal titolare del trattamento alla luce del principio di accountability.
Questo principio riguarda inoltre i metadati relativi ai log di sistema delle email dei dipendenti. Tuttavia, in tal caso, il Garante ha deciso di fissare un termine specifico di conservazione molto ristretto ( 21 giorni). Questo termine si applica a quei metadati che registra il provider, i log che sono stringhe di codice che documentano le informazioni relative ai messaggi di posta elettronica con l’intento di consentire audit e verifiche successive. Si tratta quindi di parametri tecnici generati dai sistemi server di gestione e smistamento della posta elettronica che consentono di individuare con certezza assoluta la storia di una email.
I log sono informazioni tecniche fondamentali ai fini di prova dell’autenticità di un certo messaggio, senza le quali i datori di lavoro, pur potendo indicizzare e archiviare le email, avrebbero delle difficoltà a provare la loro effettiva esistenza, la data di invio e di ricezione e lo stesso contenuto e rischierebbero di esporsi a contestazioni da parte dei dipendenti in un eventuale contenzioso. Per fare un esempio semplice, una email priva dei log potrebbe essere stata “incollata” nella casella di arrivo del dipendente: è evidente quindi che le email senza log hanno una valenza probatoria molto minore. Un problema non banale, considerato che in qualsiasi contenzioso amministrativo, civile o penale, un’azienda può avere la necessità di produrre un messaggio di posta elettronica, anche molti anni dopo il suo invio.
Per ovviare a questo problema, conservando anche i log delle email ( e non solo le informazioni contenute nel corpo dei messaggi) senza eccessivi vincoli temporali, le aziende dovrebbero, in linea con il principio di accountability, provare l’esigenza di una conservazione dei log delle email per un periodo maggiore, aggiornando l’informativa privacy, eseguendo una valutazione di impatto e un test di bilanciamento relativo al legittimo interesse e soprattutto raggiungendo un accordo sindacale od ottenendo una autorizzazione dell’ispettorato, con fissazione di un termine di conservazione più lungo di 21 giorni, in base all’articolo 4, comma 1, della legge 300/ 1970.
Il Garante, infatti, ricorda che il titolare del trattamento è il soggetto chiamato a definire i tempi di conservazione dei metadati. Se è vero, quindi, che la conservazione dei log « possa essere effettuata, di norma, per un periodo limitato a pochi giorni; a titolo orientativo, tale conservazione non dovrebbe comunque superare i 21 giorni » , è anche vero che si può scegliere di superare tale termine, sulla base di una valutazione delle esigenze tecniche e aziendali che legittimano tale necessità.
Le aziende sono chiamate, quindi, a fare scelte difficili: il punto di partenza per prendere delle decisioni è quello della valutazione, caso per caso, dell’architettura tecnologica e delle esigenze produttive di ciascun soggetto, circostanziando la posizione della società anche tenendo conto dei precedenti casi in cui l’accesso alle email del dipendenti è stato necessario per lo svolgimento di indagini interne.